Kategorie: OWASP10

Was bedeutet „Cryptographic Failures“? Kryptografie ist die Kunst, Daten durch Verschlüsselung zu schützen. Sie sorgt dafür, dass nur autorisierte Personen Informationen lesen oder verändern können. Von „Cryptographic Failures“ spricht man, wenn Verschlüsselung falsch angewendet oder sogar ganz vergessen wird. Das führt dazu, dass sensible Daten wie Passwörter, Kreditkarteninformationen oder persönliche Daten leicht abgefangen oder gestohlen…

Was bedeutet „Vulnerable and Outdated Components“? Fast jede moderne Anwendung nutzt Bibliotheken, Frameworks und externe Komponenten.Wenn diese Teile veraltet sind oder bekannte Sicherheitslücken enthalten, wird die gesamte Anwendung angreifbar – auch wenn der eigene Code fehlerfrei ist. Beispiel:Eine Web-App läuft mit einer alten Version von jQuery, die für XSS-Angriffe anfällig ist. Schon allein dadurch können…

Was bedeutet „Identification and Authentication Failures“? Hier geht es um Fehler bei Login-Mechanismen und der Verwaltung von Benutzeridentitäten.Wenn eine Anwendung nicht zuverlässig prüft, wer sich anmeldet und wie sicher diese Anmeldung ist, können Angreifer Konten übernehmen oder Sicherheitsbarrieren umgehen. Früher war dieser Punkt als „Broken Authentication“ bekannt – die neue Bezeichnung verdeutlicht, dass sowohl Identifizierung…

Was bedeutet „Software and Data Integrity Failures“? Hier geht es um Probleme, wenn Software oder Daten nicht zuverlässig geschützt werden und Angreifer unbemerkt Änderungen einschleusen können. Im Klartext:Wenn eine Anwendung nicht sicherstellt, dass Code, Updates oder Daten echt und unverändert sind, besteht das Risiko, dass Schadcode ausgeführt wird oder manipulierte Informationen ins System gelangen. Typische…

Was bedeutet „Security Logging and Monitoring Failures“? Damit sind Fehler bei der Protokollierung und Überwachung von sicherheitsrelevanten Ereignissen gemeint. Einfach gesagt:Wenn eine Anwendung Angriffe nicht erkennt oder nicht meldet, können Angreifer ungestört Schaden anrichten – manchmal über Monate oder Jahre. Typische Beispiele aus der Praxis Warum ist das so gefährlich? Wie schützt man sich?

Was bedeutet „SSRF“? Bei einem Server-Side Request Forgery (SSRF) wird ein Server dazu gebracht, unerwartete oder ungewollte Anfragen zu verschicken – oft innerhalb des eigenen Netzwerks. Das Besondere:Der Angreifer schickt seine Anfrage nicht direkt an das Ziel, sondern nutzt den verwundbaren Server als Proxy. So kann er Systeme erreichen, die von außen eigentlich nicht zugänglich…

Was bedeutet „Security Misconfiguration“? Unter „Security Misconfiguration“ versteht man falsch eingestellte oder unzureichend abgesicherte Systeme, Server oder Anwendungen.Oft entstehen diese Schwachstellen nicht durch Programmierfehler, sondern durch menschliche Fehler bei der Einrichtung. Beispiel:Ein Webserver läuft mit Standard-Admin-Passwort oder gibt unnötig viele technische Fehlermeldungen preis. Typische Beispiele aus der Praxis Warum ist das so gefährlich? Wie schützt…

OWASP steht für Open Web Application Security Project. Es handelt sich um eine weltweite Non-Profit-Organisation, die sich der Verbesserung der Sicherheit von Software verschrieben hat.Das bekannteste Projekt von OWASP sind die OWASP Top 10: eine regelmäßig aktualisierte Liste der zehn größten Sicherheitsrisiken für Webanwendungen. Warum sind die OWASP Top 10 wichtig? Die aktuellen OWASP Top…

Was bedeutet „Insecure Design“? „Insecure Design“ beschreibt grundlegende Schwächen in der Architektur oder Planung einer Anwendung.Es geht also nicht nur um einen Programmierfehler im Code, sondern darum, dass Sicherheit von Anfang an nicht richtig berücksichtigt wurde. Ein Beispiel:Wenn ein Online-Shop keine Zwei-Faktor-Authentifizierung für Admin-Accounts vorsieht, ist das kein Bug im Code, sondern ein Designproblem. Typische…